Что произошло при утечке данных Juspay и что вы можете с этим сделать?

В начале января 2012 года Juspay, платежный процессор и шлюз из Индии, обнаружил утечку данных о миллионах записей в базе данных держателей карт. 5 января компания опубликовала сообщение в блоге по этому поводу.

Утечка данных произошла из-за плохо защищенного сервера, используемого компанией, и датируется концом лета 2020 года.

Как все это произошло?

Еще во второй половине августа 2020 года Juspay стало известно о несанкционированном доступе к принадлежащей ему базе данных. База данных размещалась на сервере Amazon Web Services, на котором использовался старый пароль. Пароль был не просто старым, он использовался повторно.

Данные, принадлежащие 35 миллионам клиентов, включая замаскированные данные карт, которые компания описала как «в основном используемые для отображения в пользовательском интерфейсе продавца». Juspay заявил, что данные не могут быть использованы для выполнения или завершения транзакции.

Juspay прямо заявил, что утечка информации не содержала полных номеров карт, деталей заказа, паролей или PIN-кодов карт. Несмотря на это, Juspay сообщил, что утечка содержала идентификаторы электронной почты и номера телефонов в виде обычного текста.

Juspay фактически также обвинил некоторые СМИ, назвав их освещение утечки "сенсацией" этого события. Хотя очевидно, что это не самая драматическая или серьезная утечка данных в стране, учитывая, что украденные данные были выставлены на продажу в даркнете за скудные 5000 долларов, это также не то, что нужно полностью игнорировать.

В ответ на инцидент Juspay сбросил пароли пользователей и включил двухфакторную аутентификацию для всех учетных записей. Эти меры являются обычным делом после подобных инцидентов.

Если вы каким-то образом являетесь частью затронутых пользователей, лучшее, что вы можете сделать, - это подтвердить новый пароль после принудительного переключения и продолжать придерживаться лучших практик безопасности.

Никогда не используйте пароли повторно на разных устройствах или в сервисах, никогда не сообщайте пароли даже близким друзьям и родственникам и старайтесь использовать достаточно сложные пароли, чтобы они могли противостоять перебору.